計算機網(wǎng)絡企業(yè)網(wǎng)絡規(guī)劃畢業(yè)設計

1、<p>　　畢 業(yè) 設 計 報 告</p><p>　　課題名稱：xxxxxx網(wǎng)絡規(guī)劃</p><p>　　二級學院：信息工程學院 </p><p>　　專 業(yè)：計算機網(wǎng)絡技術(shù) </p><p>　　班 級：10計網(wǎng)（2）班 </p

2、><p>　　學生姓名：xxxx </p><p>　　學 號：xxxxxx </p><p>　　指導教師：xxxx </p><p>　　日 期：2012年11月20日 </p>

3、<p><b>　　摘要</b></p><p>　　計算機網(wǎng)絡是指通過傳輸媒休連接的多部計算機組成的系統(tǒng)，使登錄其上的所有用戶能夠共享軟硬件資源。計算機網(wǎng)絡如按網(wǎng)絡的組建規(guī)模和延伸范圍來劃分的話，可分為局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)。我們經(jīng)常用到的Internet屬于廣域網(wǎng)，企業(yè)網(wǎng)屬于局域網(wǎng)。未來的網(wǎng)絡技術(shù)將向著使用簡單、高速快捷、多網(wǎng)合一、安全保密方向發(fā)展</p>&

4、lt;p>　　隨著信息技術(shù)的發(fā)展，電腦的普及使用率越來越高，在同一地點多臺電腦同時工作的情況越來越多，如高校的開放計算實驗室、網(wǎng)吧、辦公室等地方，沒聯(lián)網(wǎng)的單機很難想象。為了方便維護、管理、共享信息資源等目的，常常需要把所有的單機聯(lián)成網(wǎng)絡，這種小規(guī)模局域網(wǎng)絡的搭建十分實用。</p><p>　　企業(yè)網(wǎng)的建成和使用，對于一個企業(yè)來說，產(chǎn)品的介紹、銷售、技術(shù)服務和售后服務等越來越多地采用網(wǎng)絡的形式來完成，最主要的

5、優(yōu)點是：方便、快捷和成本低廉。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡設計方案、網(wǎng)絡拓撲結(jié)構(gòu)、布線系統(tǒng)、網(wǎng)絡的應用和安全，網(wǎng)絡系統(tǒng)的維護等內(nèi)容。</p><p>　　關(guān)鍵字：局域網(wǎng)，網(wǎng)絡拓撲規(guī)劃，路由，交換</p><p><b>　　目錄</b></p><p>　　第一章 需求分析1</p><p>　　1、1 背景分

6、析1</p><p>　　1、2 網(wǎng)絡需求1</p><p>　　1、3 應用需求分析2</p><p>　　1、4 網(wǎng)絡安全需求2</p><p>　　第二章 網(wǎng)絡系統(tǒng)規(guī)劃與設計2</p><p>　　2、1 設計原則2</p><p>　　2、2 技術(shù)方案設計3</p&g

7、t;<p>　　2、3 網(wǎng)絡拓撲圖3</p><p>　　2、4 IP和VLAN規(guī)劃4</p><p>　　第三章 設備選型5</p><p>　　3、1 設備選型原則5</p><p>　　3、2 網(wǎng)絡設備選型6</p><p>　　第四章 綜合布線系統(tǒng)設計9</p><

8、p>　　4、1 布線系統(tǒng)總體設計9</p><p>　　4、2詳細子系統(tǒng)布線設計9</p><p>　　第五章 網(wǎng)絡安全設計10</p><p>　　第六章 主要設備配置11</p><p>　　6、1邊界路由NAT配置11</p><p>　　6、2核心交換機配置12</p><

9、p>　　第七章 材料清單和預算13</p><p><b>　　總結(jié)14</b></p><p><b>　　致謝14</b></p><p><b>　　參考文獻15</b></p><p><b>　　第一章 需求分析</b></p

10、><p><b>　　1、1 背景分析</b></p><p>　　xxxx有限公司南寧總部主要建筑物有行政樓、辦公大樓和車間大樓。有6個部門，分別是行政部、財務部、研發(fā)部、營銷部、生產(chǎn)部、人事部。行政樓有三層，第一層是公司的網(wǎng)絡中心和服務器中心；第二層是財務部；第三層是總經(jīng)理辦公室和會議大廳。辦公大樓有三層，第一層是研發(fā)部；第二層是營銷部；第三層是人事部。車間大樓是生產(chǎn)

11、部，包括生產(chǎn)車間、倉庫等。公司大概有180臺左右的PC需要上網(wǎng)，選用一條20M光纖寬帶接入鏈路。</p><p>　　考慮公司人員與規(guī)模會不斷擴張，隨著辦公信息化、自動化的需求，各部門間為提高辦公效率，促進信息交流，適應現(xiàn)代化辦公的要求，公司要求在項目的規(guī)劃上和實施中采集防火墻，服務器，網(wǎng)絡設備以及系統(tǒng)管理模式，實現(xiàn)公司內(nèi)部所有的信息資源合法的運用和完善管理。使所有員工能夠方便熟悉、安全高效地訪問公司的網(wǎng)絡運用服

12、務和因特網(wǎng)，需要組建一個完善的企業(yè)內(nèi)部網(wǎng)。</p><p><b>　　1、2 網(wǎng)絡需求</b></p><p>　　滿足集團信息化的要求，為各類應用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網(wǎng)絡安全機制，滿足集團信息安全的要求，具有較高的性價比，未來升級擴展容易，保護用戶投資；用戶使

13、用簡單、維護容易，為用戶提供良好的售后服務。 主干網(wǎng)絡負責各個子網(wǎng)和應用服務的連接，為信息交換提供有效的高速通道。</p><p>　　系統(tǒng)主干采用千兆以太網(wǎng)，網(wǎng)絡協(xié)議采用TCP/IP協(xié)議，整個網(wǎng)絡應考慮語音、視頻、數(shù)據(jù)等的綜合應用。交換機要求采用主流、成熟、信譽和售后服務均佳的產(chǎn)品，核心交換機采用三層交換機，支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務請求的實時響應問題，在內(nèi)部用戶終端進行視頻信號、數(shù)據(jù)交

14、換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象；下屬單位接入交換機可采用相對低一檔的產(chǎn)品；配置要保證網(wǎng)絡中所有的服務器、交換機、路由器、集線器等設備的連續(xù)、正常地運轉(zhuǎn)；網(wǎng)絡帶寬的分配：應根據(jù)所屬單位網(wǎng)絡的信息流量情況合理分配網(wǎng)段，以充分利用網(wǎng)絡帶寬，提高網(wǎng)絡的運行效率。</p><p>　　1、3 應用需求分析</p><p>　　各部門內(nèi)實現(xiàn)資源共享，提高公司辦公和公司生產(chǎn)效率；網(wǎng)

15、絡需要滿足公司內(nèi)各種計算機應用系統(tǒng)的大信息量傳輸要求。局域網(wǎng)要具備良好可管理性，公司網(wǎng)絡系統(tǒng)結(jié)構(gòu)要清晰，劃分vlan便于管理；IP地址分配必需合理利用，滿足公司網(wǎng)絡擴容需求。公司能支持所有PC機同時訪問Internet；營銷部因為工作需要，占用的流量必須大過其他部門。</p><p>　　公司的web和ftp服務器：web服務器具有固定的IP地址配置，互聯(lián)網(wǎng)和公司內(nèi)部可以訪問公司的網(wǎng)站；ftp服務器有固定IP地址

16、，允許企業(yè)內(nèi)部所有員工下載；外網(wǎng)不能訪問ftp服務器。</p><p>　　部門間訪問權(quán)限要有限制：財務部不能給其他部門訪問；營銷部和生產(chǎn)部可以互相訪問；人事部除了財務部以外都可以訪問其他三個部門。</p><p>　　1、4 網(wǎng)絡安全需求</p><p>　　內(nèi)網(wǎng)安全設計：訪問控制，通過密碼、口令等禁止非授權(quán)用戶對服務器和網(wǎng)絡設備的訪問，以及對辦公自動化平臺、的訪

17、問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設置、ARP病毒的防御、數(shù)據(jù)完整、防病毒入侵。</p><p>　　在企業(yè)網(wǎng)絡中，關(guān)鍵應用服務器、核心網(wǎng)絡設備，只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡應該能夠阻止任何的非法操作。</p><p>　　第二章 網(wǎng)絡系統(tǒng)規(guī)劃與設計</p><p><b>　　2、1 設計原則

18、</b></p><p>　　“公司項目”系統(tǒng)的基本建設原則為：“實用性、可靠性、安全性、科學性、先進性、規(guī)范性”。同時本著“總體規(guī)劃、分步實施，滿足應用，適當超前，盡量利舊”的指導思想進行公司信息化建設。</p><p>　　為了使所設計的方案盡可能滿足公司實際的需求，使建成的網(wǎng)絡在一定的時間內(nèi)正常、高效地運轉(zhuǎn)，方案應符合以下原則：</p><p>　

19、?。?）實用性：網(wǎng)絡系統(tǒng)完成系統(tǒng)連接，實現(xiàn)信息設備及資源共享，為辦公、管理服務； </p><p>　?。?）開放性：保證系統(tǒng)的開放性，以便得到眾多廠商產(chǎn)品和技術(shù)支持以及與其它網(wǎng)絡互連；</p><p>　?。?）靈活性：硬件及軟件的設計充分考慮系統(tǒng)的靈活性，均應采用模塊化的結(jié)構(gòu)設計；</p><p>　?。?）經(jīng)濟性：網(wǎng)絡系統(tǒng)軟硬件的選擇應具有較好的性能價格比。&

20、lt;/p><p>　?。?）科學性：充分論證，統(tǒng)籌規(guī)劃，精心設計，認真施工，保證網(wǎng)絡系統(tǒng)層次和結(jié)構(gòu)科學、合理；</p><p>　　（6）安全性：系統(tǒng)應具有多種手段防止各種形式與途徑的非法入侵和機密信息的泄露，并具有可靠的防病毒措施，因此需要充分重視網(wǎng)絡系統(tǒng)和信息的安全，采取相應的技術(shù)措施和管理機制，保證網(wǎng)絡系統(tǒng)的安全；</p><p>　　（7）可靠性：網(wǎng)絡系統(tǒng)作為

21、其它應用系統(tǒng)的基礎(chǔ)，必須可靠連續(xù)地運行。系統(tǒng)支持容錯功能，管理維護方便，能滿足長時間、重負荷運行要求，因此需要選用穩(wěn)定可靠的設備、采用成熟的技術(shù)、選擇有經(jīng)驗的系統(tǒng)集成商，確保網(wǎng)絡系統(tǒng)建設的可靠性；</p><p>　　（8）先進性：在網(wǎng)絡系統(tǒng)的設計上，應保證所采用的產(chǎn)品和技術(shù)三年相對先進、五年不落后、十年可用，因此需要采用成熟的先進技術(shù)，兼顧未來的發(fā)展趨勢，既量力而行，又適當超前，留有發(fā)展余地；</p>

22、;<p>　　（9）可擴展性：隨著應用的陸續(xù)開發(fā)和業(yè)務量、數(shù)據(jù)量的不斷增大，現(xiàn)有系統(tǒng)應能夠在進行很少的修改下進行擴充，因此系統(tǒng)的設計應充分考慮到以后系統(tǒng)的可升級性；</p><p>　　2、2 技術(shù)方案設計</p><p>　　公司總體網(wǎng)絡采用基于樹型的雙星型結(jié)構(gòu)，使之具有鏈路冗余特性；在一臺交換機出現(xiàn)故障的時候保障網(wǎng)絡的正常運行；整體網(wǎng)絡規(guī)劃為核心及服務器群區(qū)域，內(nèi)部骨干區(qū)

23、域（匯聚鏈路），接入層上聯(lián)區(qū)域，客戶端接入?yún)^(qū)域，核心交換機位于集團總部機房；采用三層（接入層、匯聚層和核心層）結(jié)構(gòu)。</p><p>　　網(wǎng)絡主干采用先進的千兆以太網(wǎng)技術(shù)的方式連接，實現(xiàn)百兆到桌面，可最大限度地提高主干的數(shù)據(jù)傳輸速率，適應網(wǎng)絡不斷擴展的要求。</p><p>　　根據(jù)公司需求，選用的是cisco企業(yè)級的WS-C3750G-24TS-S1U千兆核心交換機作為本公司總部機房的核

24、心交換；三層交換機作為不同部門Vlan以及各服務器Vlan的網(wǎng)關(guān)；并且用光纖連接到邊界路由器。各部門的辦公網(wǎng)是以星型的方式千兆直接連接到各匯聚機房的匯聚交換機上后，由匯聚交換機通過千兆接到核心交換機；每個辦公網(wǎng)劃分不同的vlan。</p><p><b>　　2、3 網(wǎng)絡拓撲圖</b></p><p>　　根據(jù)公司需求以及規(guī)模不大，在設計上將它組織為核心層、匯聚層、接

25、入層分別考慮。接入層節(jié)點直接連接公司用戶計算機，是一個部門的交換機；匯聚層交換機節(jié)點可以連接接入層節(jié)點，是建筑物內(nèi)部連接多個部門交換機的總交換機；核心層交換機節(jié)點連接多個匯聚層交換機，它是企業(yè)總交換機的核心網(wǎng)絡設備。</p><p>　　本方案采用典型的三層網(wǎng)絡拓撲結(jié)構(gòu)：接入層、匯聚層、核心層。在上面的拓撲結(jié)構(gòu)圖中，企業(yè)主要有行政、財務、研發(fā)、營銷、人事、生產(chǎn)五個部門接入點。研發(fā)、營銷、人事、生產(chǎn)五個部門距離超過

26、100，因此通過千兆光纖鏈路接入到網(wǎng)絡中心的匯聚交換機上。核心交換接通過連接Cisco WS-C3750G-24TS-S1U路由器接入到外部因特網(wǎng)。拓撲圖如圖1所示：</p><p><b>　　圖1 網(wǎng)絡拓撲圖</b></p><p>　　2、4 IP和VLAN規(guī)劃</p><p>　　劃分VLAN的目的：一是提高網(wǎng)絡安全性，不同VLAN的

27、數(shù)據(jù)不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強了虛擬網(wǎng)絡間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡性能，能夠?qū)V播風暴控制在一個VLAN內(nèi)部，同時使網(wǎng)絡管理趨于簡單。三是增強網(wǎng)絡應用的靈活性，VLAN是在一個有多臺交換機的局域網(wǎng)中統(tǒng)一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節(jié)點移動到局域網(wǎng)中哪一臺交換機上，只要仍屬于原來的虛擬網(wǎng)，則應用環(huán)境沒有任

28、何改變。在劃分VLAN時，要考慮VLAN對于網(wǎng)絡流量的影響，單個VLAN不宜過大。</p><p>　　根據(jù)公司各部門職能情況不同，把交換模塊劃分為不同的VLAN，減少了部門間廣播沖突，提高了傳輸效率。每個部門劃分為一個VLAN，各部門分別屬于不同的網(wǎng)段，在邏輯上被隔離，各部門間的通訊通過對核心層和匯聚層交換機進行配置來實現(xiàn)。VLAN及IP地址分配情況如下表1所示：</p><p>　　表

29、1 IP、vlan規(guī)劃表</p><p><b>　　第三章 設備選型</b></p><p>　　3、1 設備選型原則</p><p>　　（1）代表目前網(wǎng)絡系統(tǒng)設備的先進水平：</p><p>　　在網(wǎng)絡和主機方面，應支持符合國際標準和工業(yè)標準的相關(guān)接口，能夠與各接入單元網(wǎng)絡、ISP網(wǎng)絡以及其他相關(guān)系統(tǒng)實現(xiàn)可靠的互

30、連；在網(wǎng)絡協(xié)議的選擇方面，選擇廣泛應用的標準的通信協(xié)議，同時支持局域網(wǎng)內(nèi)部的其他協(xié)議。 </p><p>　?。?）具備較強的安全性：</p><p>　　網(wǎng)絡在設計和管理上必須提供嚴格的安全保密技術(shù)，實現(xiàn)不同級別的安全認證設置，并建立高效的防火墻系統(tǒng)來防止外界可能的攻擊和病毒的破壞與影響。在確保系統(tǒng)網(wǎng)絡環(huán)境中單獨設備穩(wěn)定、可靠運行的前提下，還需要考慮網(wǎng)絡整體的容錯能力、安全性及穩(wěn)定性，使

31、系統(tǒng)出現(xiàn)問題和故障時能迅速地修復。</p><p>　?。?）具備優(yōu)良的可擴充性和升級能力：</p><p>　　在網(wǎng)絡和主機設備的選擇方面，應具有良好的可擴充能力，可以根據(jù)信息網(wǎng)絡臨時需要對系統(tǒng)進行必要的調(diào)整、擴充，包括存儲容量和網(wǎng)絡規(guī)模等方面的擴充。在網(wǎng)絡全面升級換代的情況下，能夠最大限度利用現(xiàn)有投資</p><p>　?。?）具備優(yōu)良的性能價格比：</p

32、><p>　　根據(jù)現(xiàn)在的需求和可以預見的需求增長情況設計網(wǎng)絡，不追求空洞的技術(shù)先進性，避免追求高檔和最新技術(shù)花費的巨大代價。</p><p>　　3、2 網(wǎng)絡設備選型</p><p>　　CISCO是網(wǎng)絡業(yè)界第一品牌和最大的研發(fā)廠家，是項目可持續(xù)應用的投資保護和規(guī)避廠家風險的首選。因此采用的是業(yè)界標準的強健穩(wěn)定的CISCO設備，更具有廣泛的協(xié)議支持，思科IOS取得廣泛成

33、功的關(guān)鍵在于，它的標準化設計中整合了創(chuàng)新網(wǎng)絡技術(shù)、關(guān)鍵業(yè)務IP服務和首屈一指的平臺支持能力。接入交換機可采用相對低一檔的產(chǎn)品。</p><p>　　基于以上原則，我們?yōu)閤xxx公司網(wǎng)絡建設選用CISCO公司的系列產(chǎn)品，以確保網(wǎng)絡實用與性價比。設備選型如下：</p><p><b>　　核心交換機</b></p><p>　　核心層的功能主要是實

34、現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸，負責整個網(wǎng)絡的內(nèi)部數(shù)據(jù)交換、網(wǎng)絡的功能控制。核心層設計任務的重點是可靠性和高速傳輸，需要提供高速度、低時延的數(shù)據(jù)鏈路。通過提供冗余鏈路，實現(xiàn)高可靠、高可用的骨干，是局域網(wǎng)互連的關(guān)鍵。其主要任務是提供高性能、高安全性的核心數(shù)據(jù)交換、QoS。為整個公司寬帶辦公網(wǎng)提供交換和路由的核心，完成各個部分數(shù)據(jù)流的中央?yún)R集和分流；為各個匯聚層和接入層交換機提供上聯(lián)；同時提供了各個服務器的可靠接入，為數(shù)據(jù)中心的服務器提供千兆高速

35、連接。核心層設備需要高性能的三層交換機；并且非?？煽?，實現(xiàn)不間斷工作。</p><p>　　基于核心交換機的功能及作用，根據(jù)用戶的實際需求，本方案對公司網(wǎng)絡系統(tǒng)中的核心層采用的是CISCO的企業(yè)級核心交換機WS-C3750G-24TS-S1U，它的性能、指標等完全可以滿足上述的各項要求。</p><p>　　企業(yè)級核心路由交換機WS-C3560-48TS-S1 U的性能特性及技術(shù)指標如下表

36、2：</p><p>　　表2 核心交換機參數(shù)表</p><p><b>　　匯聚層交換機</b></p><p>　　匯聚層主要功能是連接接入層節(jié)點和核心層中心；負責為接入層提供數(shù)據(jù)的傳輸、匯聚、分發(fā)處理，以實現(xiàn)通信量的收斂，提高網(wǎng)絡中聚合點的效率，同時減少核心層設備路由路徑的數(shù)量，其作用主要是隔離拓撲結(jié)構(gòu)的變化，控制路由表的大小，收斂網(wǎng)絡

37、流量。匯聚層交換機還負責本區(qū)域的數(shù)據(jù)交換。</p><p>　　因此匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度；還必須具有高處理能力，以便完成網(wǎng)絡數(shù)據(jù)會聚、轉(zhuǎn)發(fā)處理；具有靈活、優(yōu)化的網(wǎng)絡路由處理能力，實現(xiàn)網(wǎng)絡匯聚的優(yōu)化匯聚層交換機需要較高的性能和較豐富功能；提高水平的可用性，可擴展性，服務質(zhì)量，安全性和可以改進網(wǎng)絡運營的管理能力。 </p><p>　　根據(jù)匯聚層在整個

38、網(wǎng)絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了2個節(jié)點：行政樓、辦公大樓；匯聚層網(wǎng)絡設備全部采用WS-C2960S-48TS-L；匯聚路由交換機CISCO WS-C2960S-48TS-L的性能特性及技術(shù)指標如下表3：</p><p>　　表3 匯聚層交換機參數(shù)表</p><p><b>　　接入層交換機</b></p><p>　　

39、接入層交換機作為二層交換網(wǎng)絡設備，提供功能工作站等設備的網(wǎng)絡接入，用來支撐客戶端機器對服務器的訪問。接入層在整個網(wǎng)絡中接入交換機的數(shù)據(jù)最多，具有即插即用、可堆疊特性的設備。對于公司接入層交換機要求，一是價格要合理；二是可管理性號，易于使用維護；三是穩(wěn)定性要好；也需要提供了快速以太網(wǎng)和千兆位以太網(wǎng)連接，同樣要為用戶提供千兆的光纖骨干和高密度度的接入端口。</p><p>　　根據(jù)接入層處在網(wǎng)絡系統(tǒng)中所起的作用以及用

40、戶的實際需求，本方案中接入層采用的是華為S5700-24TP-SI(AC)；其性能特性及技術(shù)指標情況如下表4：</p><p>　　表4 接入層交換機參數(shù)表</p><p><b>　　邊界路由器</b></p><p>　　邊界路由器作為連接內(nèi)部局域網(wǎng)和外部Internet的關(guān)鍵路由，保證內(nèi)和外網(wǎng)的隔離，內(nèi)網(wǎng)用戶通過連接各個交換機，匯總到邊

41、界路由器后，通過 IP 地址轉(zhuǎn)換功能，將內(nèi)網(wǎng)的私有地址轉(zhuǎn)換成公網(wǎng)地址訪問Internet，以使企業(yè)網(wǎng)絡內(nèi)外網(wǎng)互相獨立，達到完全的物理隔離的目的。邊界路由器它需要具有高傳輸速率和支持較多的網(wǎng)絡協(xié)議。</p><p>　　根據(jù)邊界路由器功能和公司需求，邊界路由器采用CISCO 2911/K9，其性能特性及技術(shù)指標情況如下表5：</p><p>　　表5 邊界路由器參數(shù)表</p>

42、<p><b>　　防火墻</b></p><p>　　防火墻位于外部網(wǎng)與核心交換機之間硬件設備，監(jiān)視了內(nèi)部網(wǎng)絡和外網(wǎng)之間的活動，保證了內(nèi)部網(wǎng)絡地安全，起到對進出信息分析過濾的作用，增強機構(gòu)內(nèi)部網(wǎng)絡的安全性。因此在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻以實現(xiàn)公司內(nèi)外網(wǎng)的隔離與訪問控制。是在網(wǎng)絡連接之間建立一個安全控制點，通過控制經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進出內(nèi)部網(wǎng)絡的服務和訪問的審計和控

43、制。因此要根據(jù)吞吐量和過濾帶寬等多方面考慮。</p><p>　　根據(jù)防火墻功能以及公司需求，選擇采用CISCO ASA5510-K8 防火墻，其性能特性及技術(shù)指標情況如下表6：</p><p>　　表6 防火墻參數(shù)表</p><p>　　第四章 綜合布線系統(tǒng)設計</p><p>　　4、1 布線系統(tǒng)總體設計</p><

44、p>　　公司有3棟建筑，從總部機房采用四芯多模光纖與其他兩棟建筑的設備間相連，從設備間連到工作站采用四芯多模光纖相連，距離在90米以內(nèi)采用五類非屏蔽雙絞線相連接，超過90米用光纖連接。公司選用一條20M光纖寬帶接入鏈路，使公司實現(xiàn)與外界的信息交換和網(wǎng)絡通信。公司統(tǒng)一由總部機房的一個出口訪問Internet。在服務器和核心交換機間使用UTP電纜來將服務器連接到核心交換機。</p><p>　　4、2詳細子系統(tǒng)

45、布線設計</p><p>　　（1）建筑群子系統(tǒng)設計：</p><p>　　建筑群子系統(tǒng)是將一棟建筑物內(nèi)的電纜延伸到建筑群中的另外一些建筑物內(nèi)的通信設備和裝置上，采用光纜布線是目前主要的建筑間布線方式，建筑間的主干光纜采用四芯多模光纖。</p><p>　　（2）設備間子系統(tǒng)設計：</p><p>　　由設備間中的電纜、連接器和相關(guān)支撐硬件組

46、成，把公共系統(tǒng)（通訊系統(tǒng)，計算機系統(tǒng)和建筑自動化系統(tǒng)等）設備的各種不同設備互連起來。使用12芯單模室內(nèi)多模光纖將其連接。</p><p>　?。?）干線子系統(tǒng)設計：</p><p>　　由連接主設備間與各個治理子系統(tǒng)的室內(nèi)干線電纜構(gòu)成。數(shù)據(jù)主要從網(wǎng)絡配線間向各個子配線間敷設，距離超過100M用12芯單模室內(nèi)多模光纖，距離90M內(nèi)用超五類屏蔽雙絞線。</p><p>

47、　　（4）管理子系統(tǒng)設計：</p><p>　　由配線間構(gòu)成；由各種規(guī)格的配線架實現(xiàn)水平、垂直主干線纜的端接及分配；由各種規(guī)格的跳線實現(xiàn)布線系統(tǒng)與各種網(wǎng)絡、通訊設備的連接，并提供靈活方便的線路管理能力。對于信息點不是很多，使用功能近似的樓層，為便于治理，僅設置一個共用的子配線間；對于信息點較多的樓層則在該層設立配線間。</p><p><b>　　（5）水平子系統(tǒng)：</b&

48、gt;</p><p>　　主要是實現(xiàn)信息插座和管理子系統(tǒng)，即是與配線架的連接。水平子系統(tǒng)為星形拓撲。在水平子系統(tǒng)中采用超五類非屏蔽雙絞線。水平雙絞線的最大長度均不超過90m。</p><p>　?。?）工作區(qū)子系統(tǒng)：</p><p>　　由各個單元區(qū)域構(gòu)成，是計算機、電話和信息插座的連接部分，包括連接跳線和信息插座。信息插座的模塊采用類RJ-45模塊；線纜采用超五

49、類雙絞線；水晶頭采用RJ-45標準水晶頭。</p><p>　　第五章 網(wǎng)絡安全設計</p><p>　　因特網(wǎng)存在連接。為了保障網(wǎng)絡系統(tǒng)的運行安全，保護集團的信息安全，必須進行網(wǎng)絡安全方面的規(guī)劃和實施。一個網(wǎng)絡的安全，首先要有嚴格和有效執(zhí)行的管理制度，公司需要制定嚴格的網(wǎng)絡安全管理策略，并有效的執(zhí)行；必須具有一定的技術(shù)手段來保障網(wǎng)絡的安全。技術(shù)和管理手段相結(jié)合實施，才能夠產(chǎn)生良好的效果。

50、通過以下幾個技術(shù)方面的實施，可以在一定程度上保障網(wǎng)絡的安全：</p><p>　　（1） 配置設備的口令</p><p>　　配置設備的口令，以防止非授權(quán)的人員更改網(wǎng)絡系統(tǒng)的配置，要為所有的網(wǎng)絡設備設置口令，要為每一臺設備配置CONSOLE口令， VTY口令，特權(quán)口令等。在口令方面，需要制定管理制度并嚴格執(zhí)行?？诹罟芾碇贫劝诹畹脑O置，保管，更改，口令的強度等內(nèi)容。</p>

51、<p>　　（2）配置VTP域的認證</p><p>　　進行VTP域的認證，能夠保證局域網(wǎng)的VLAN等的安全。設置了VTP域認證，防止新增加的設備自動加入到已存在的管理域中，保證了局域網(wǎng)的運行安全，可以避免因為VLAN被錯誤或者惡意的增加、刪除造成的運行故障。</p><p><b>　?。?）內(nèi)外網(wǎng)隔離</b></p><p>

52、　　防火墻是一種網(wǎng)絡安全保障手段，是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度，其主要目標就是通過控制入、出一個網(wǎng)絡的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上，有效地監(jiān)視了內(nèi)部網(wǎng)絡和外網(wǎng)之間的活動，保證了內(nèi)部網(wǎng)絡地安全；在物理實現(xiàn)上，防火墻是位于外部網(wǎng)與核心交換機之間硬件設備，起到對進出信息分析過濾的作用，增強機構(gòu)內(nèi)部網(wǎng)絡的安全性。因此在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻以實現(xiàn)公司內(nèi)外網(wǎng)的隔離與訪

53、問控制。 </p><p>　　服務器系統(tǒng)安全的實現(xiàn)，與網(wǎng)絡系統(tǒng)的安全策略緊密相關(guān)。公司局域網(wǎng)系統(tǒng)分為內(nèi)網(wǎng)和外網(wǎng)，采用防火墻隔離，內(nèi)網(wǎng)、外網(wǎng)不能直接互相訪問。內(nèi)網(wǎng)、外網(wǎng)之間設置非軍事區(qū)，所有內(nèi)網(wǎng)、外網(wǎng)之間的訪問全部通過防火墻實現(xiàn)?；景l(fā)上原則，公司的網(wǎng)絡應用系統(tǒng)服務器安全。Web、ftp等服務器設置在非軍事區(qū)，以實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的訪問。</p><p><b>　　（4）網(wǎng)絡病毒防

54、范</b></p><p>　　網(wǎng)絡防病毒系統(tǒng)要求做到在整個內(nèi)部網(wǎng)杜絕病毒的感染、傳播和發(fā)作；要求提供多種防病毒軟件的安裝方式；網(wǎng)絡管理員可遠程監(jiān)控客戶機，發(fā)現(xiàn)病毒可以及時得到通知；網(wǎng)絡管理員可以對網(wǎng)絡中每臺計算機進行防病毒控制和管理；所有客戶端和服務器具有統(tǒng)一的殺毒版本。該用戶選擇了瑞星公司的殺毒軟件網(wǎng)絡版，以此為基礎(chǔ)作為網(wǎng)絡防病毒解決方案，采用分級管理、多重防護的管理架構(gòu)。</p>

55、<p>　　第六章 主要設備配置</p><p>　　6、1邊界路由NAT配置</p><p>　　根據(jù)公司規(guī)模的需求，申請了202.103.160.0-7/29的公網(wǎng)地址，其中202.103.160.1/29作為web服務器的映射地址；202.103.160.2-4/29作為內(nèi)網(wǎng)NAT轉(zhuǎn)換的公網(wǎng)地址；202.103.160.5-6/29作為邊界路由器連接ISP的管理地址。NAT

56、配置如下：</p><p>　　# ip route 0.0.0.0 0.0.0.0 202.103.160.6 //配置到外網(wǎng)的缺省路由</p><p>　　# access-list 1 permit 192.168.0.0 0.0.0.255 //配置允許轉(zhuǎn)換的內(nèi)部地址</p><p>　　# ip nat pool nat01 20

57、2.103.160.2 202.103.160.4 netmask 255.255.255.248 //配置NAT地址池</p><p>　　# ip nat inside source list 1 pool nat01 overload //配置動態(tài)NAT映射，將NAT地址池和ACL綁定</p><p>　　# ip nat inside source static 172.16

58、.30.2 202.103.160.1 //配置公司W(wǎng)EB服務器靜態(tài)轉(zhuǎn)換對外網(wǎng)訪問</p><p>　　# interface Serial0/0/0</p><p>　　# ip address 202.103.160.5 255.255.255.248</p><p>　　# ip nat outside //配置

59、NAT外部接口</p><p>　　# interface FastEthernet0/1</p><p>　　# ip address 10.10.10.2 255.255.255.0</p><p>　　# ip nat inside //配置NAT內(nèi)部接口</p><p>　　6、2核心

60、交換機配置</p><p>　?。?）在核心交換機配置VLAN，并且給VLAN配IP，如下例：</p><p>　　# interfece vlan 10</p><p>　　# ip address 192.168.10.254 255.255.255.0</p><p>　?。?）在核心交換機配置DHCP，如下例：</p>

61、<p>　　# ip dhcp pool vlan10 //設置vlan10地址池</p><p>　　# network 192.168.10.0 255.255.255.0 //配置可分配的子網(wǎng)</p><p>　　# default-router 192.168.10.254 //設置默認網(wǎng)關(guān)</p><p>　　# i

62、p dhcp excluded-address 192.168.10.254 //設置保留不分配地址</p><p>　?。?）在核心交換機上配置ACL，控制部門訪問權(quán)限；如下例：</p><p>　　要求：財務部除了行政部門，不能給其他部門訪問</p><p>　　# access-list 1 deny 192.168.30.0 0.0.0.255 //拒

63、絕研發(fā)部</p><p>　　# access-list 1 deny 192.168.40.0 0.0.0.255 //拒絕人事部</p><p>　　# access-list 1 deny 192.168.50.0 0.0.0.255 //拒絕營銷部</p><p>　　# access-list 1 deny 192.168.60.0 0.0.0.255

64、 //拒絕生產(chǎn)部</p><p>　　# access-list 1 permit any //允許所有</p><p>　　# int vlan 20</p><p>　　# ip access-group 1 in //應用ACL</p><p>　?。?）在核心交換機上配置VTP服務器端，其他交換機設置為客戶端：</p>

65、;<p>　　# vtp mode server //在核心交換機配置作為VTP服務器端</p><p>　　# vtp clinet //在匯聚交換機配置作為VTP客戶端</p><p>　　# vtp domain vtpgxcoco // 在所有交換機設置vtp域名</p><p>　　第七章 材料清單和預算</p>&

66、lt;p>　?。?）根據(jù)本次公司布線規(guī)劃設計，綜合布線材料清單如下表7：</p><p>　　表7 主要布線材料清單和預算表</p><p>　?。?）根據(jù)本次公司網(wǎng)絡規(guī)劃設計中設備的選擇，公司的網(wǎng)絡設備清單如下表8：</p><p>　　表 8 主要網(wǎng)絡設備清單與預算表</p><p><b>　　總結(jié)</b>

67、;</p><p>　　本文根據(jù)一個行業(yè)的特定要求做的一個企業(yè)網(wǎng)絡解決方案。其中應用了現(xiàn)今企業(yè)網(wǎng)絡中較為常用的主流技術(shù)。網(wǎng)絡整體采用的是Cisco三層架構(gòu)，這個結(jié)構(gòu)的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展，并且網(wǎng)絡故障排查也比較容易。在本方案中我們用vlan、NAT和ACL技術(shù)作為內(nèi)部網(wǎng)絡的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問。而在內(nèi)部網(wǎng)絡與Internet之間我們則采用硬件防火墻將兩部分網(wǎng)絡隔離開。組建一個高

68、速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的內(nèi)外網(wǎng)絡系統(tǒng)，是當前企業(yè)網(wǎng)絡發(fā)展的趨勢。在網(wǎng)絡安全方面，所以在本方案中我們用vlan技術(shù)和ACL技術(shù)作為內(nèi)部網(wǎng)絡的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問。而在內(nèi)部網(wǎng)絡與Internet之間我們則采用硬件防火墻將兩部分網(wǎng)絡隔離開，設置策略只允許合法的數(shù)據(jù)進出，各種網(wǎng)絡安全技術(shù)相結(jié)合，使得網(wǎng)絡更安全可靠。</p><p>　　通過這次畢業(yè)設計，使我更加扎實的掌握了

69、網(wǎng)絡方面的知識，學到了很多書本上沒有的知識，給我很多專業(yè)知識以及專業(yè)技能上的提升，讓我不斷發(fā)現(xiàn)錯誤，不斷改正，不斷領(lǐng)悟，不斷獲取。同時也暴露出了我在這方面的知識欠缺和經(jīng)驗不足。</p><p>　　在設計過程中雖然遇到了很多問題，但是經(jīng)過自己反復思考檢查、查閱大量有關(guān)資料、與同學交流、請教老師等方式，讓自己終于找出了原因所在，所有問題都迎刃而解，讓這次課程設計終于順利完成了。同時，這次設計讓我感觸很深，使我對抽象

70、的理論有了具體的認識，讓我懂得了怎樣去設計一個企業(yè)的網(wǎng)絡系統(tǒng)。</p><p><b>　　致謝</b></p><p>　　大學生活在這個時候即將劃上一個句號。但是對于我的人生道路來說，這僅僅是一個逗號，我將面對的是又一次征程的開始。隨著論文的完成，代表著三年的大學生活也即將結(jié)束。三年同窗的友情很難忘，你們與我共同走過了人生中不平凡的道路，給我留下了值得珍藏的美好記

71、憶。</p><p>　　在此，我要特別感謝指導教師。本論文是在他的悉心指導下完成的，老師認真負責的工作態(tài)度，嚴謹?shù)闹螌W精神和精深的理論水平都使我受益匪淺。他無論在理論上還是在實踐中，都給予我很大的幫助，使我專業(yè)技能得到很大提高，這對于我以后的工作和學習都有益處。論文完成之際，特別向指導x老師表示衷心的感謝和崇高的敬意，謝謝他悉心地輔導，使得我得以順利的完成畢業(yè)設計的工作，同時也要感謝其他幫助過我的老師和同學，他

72、們在我成長過程中給予了我很大的幫助。</p><p>　　最后，我衷心感謝信息學院所有支持幫助過我的老師，謝謝你們多年來的關(guān)心和愛護，也祝愿老師們在今后的科研工作中身體健康，工作順利!</p><p><b>　　參考文獻</b></p><p>　　[1]侯中俊.局域網(wǎng)組網(wǎng)技術(shù)[M].北京：人民郵電出版社，2005</p>&l

73、t;p>　　[2]于富強，李青茹.網(wǎng)絡工程實踐指南[M].北京：北京大學出版社，2010</p><p>　　[3]遲恩宇，劉天飛.網(wǎng)絡安全與防護[M] .北京：電子工業(yè)出版社，2009</p><p>　　[4]周有丹，梁錦銳，易著梁.企業(yè)網(wǎng)絡組建與應用[M].北京：科學出版社，2010</p><p>　　[5]王公儒.綜合布線工程實用技術(shù)[M].北京：中

74、國鐵道出版社，2011</p><p>　　[6]吳獻文.計算機網(wǎng)絡安全應用教程[M].北京：人民郵電出版社，2011</p><p>　　[7]梁廣民，王隆杰.網(wǎng)絡設備互聯(lián)技術(shù)[M] .北京：清華大學出版社，2006</p><p>　　[8]顏謙和.交換機與路由器技術(shù)[M] .北京：清華大學出版社 2011.01</p><p>　　[9